💢وجود zeroday در پلاگین smtp وردپرس، باعث ریسیت شدن پسورد ادمین می شود!
⚠️هکرها با استفاده از یک آسیب پذیری zeroday در یک افزونه محبوب وردپرس که در بیش از 500000 سایت نصب شده است ، رمزعبورهای حساب مدیر را در سایت های وردپرس ریسیت میکنند.
✅این آسیب پذیری افزونه Easy WP SMTP را تحت تأثیر قرار می دهد ، افزونه ای که به صاحبان سایت اجازه می دهد تنظیمات SMTP را برای ایمیل های خروجی وب سایت خود کانفیگ کنند.
جزئیات بیشتر ...
⚡️هشدار به تمامی شرکت ها و سازمان هایی که از این سرویس وردپرس استفاده می کنند
👈 هرچه سریع تر به روز رسانی های لازمه را اعمال کنید
با تشکر 🙏
#News
#Wordpress
#SMTP
🇮🇷 @IranCyber_org
⚠️هکرها با استفاده از یک آسیب پذیری zeroday در یک افزونه محبوب وردپرس که در بیش از 500000 سایت نصب شده است ، رمزعبورهای حساب مدیر را در سایت های وردپرس ریسیت میکنند.
✅این آسیب پذیری افزونه Easy WP SMTP را تحت تأثیر قرار می دهد ، افزونه ای که به صاحبان سایت اجازه می دهد تنظیمات SMTP را برای ایمیل های خروجی وب سایت خود کانفیگ کنند.
جزئیات بیشتر ...
⚡️هشدار به تمامی شرکت ها و سازمان هایی که از این سرویس وردپرس استفاده می کنند
👈 هرچه سریع تر به روز رسانی های لازمه را اعمال کنید
با تشکر 🙏
#News
#Wordpress
#SMTP
🇮🇷 @IranCyber_org
💢بات نت PgMiner ، به دیتابیس های PostgreSQL حمله کرده است!
☢️فقط دیتابیس های PostgreSQL که بر روی سرور لینوکسی درحال اجرا هستند این باگ را دارند.
⚠️محققان امنیتی این هفته یک عملیات botnet را با نام PostgreSQL کشف کردند که دیتابیس های PostgreSQL را برای نصب یک ماینر ارز دیجیتال هدف قرار می دهد.
🔗 اطلاعات بیشتر....
🇮🇷 @IranCyber_org
☢️فقط دیتابیس های PostgreSQL که بر روی سرور لینوکسی درحال اجرا هستند این باگ را دارند.
⚠️محققان امنیتی این هفته یک عملیات botnet را با نام PostgreSQL کشف کردند که دیتابیس های PostgreSQL را برای نصب یک ماینر ارز دیجیتال هدف قرار می دهد.
🔗 اطلاعات بیشتر....
🇮🇷 @IranCyber_org
⚡️⚡️ هک شدن برخی سازمان های دولتی آمریکا و شرکت امنیتی FireEye با استفاده از بکدور تعبیه شده در ابزار SolarWinds
💥 هکرهای وابسته به روسیه موفق شدند برخی سازمان های دولتی که شامل وزارت خزانه داری هم میشود را با استفاده از بکدور SolarWinds هدف حملات سایبری قرار دهند. واشنگتن پست با استناد به منابع ناشناس گفته که این حملات کار گروه APT29 یا Cozy Bear می باشد که احتمال می رود نقض امنیتی شرکت FireEye نیز کار آنان باشد.
💥 هنوز انگیزه و دامنه کامل اطلاعات به خطر افتاده مشخص نیست اما شواهد نشان می دهد که هکرها در به روزرسانی نرم افزاری SolarWinds که توسط تأمین کننده زیرساخت فناوری اطلاعات مستقر در تگزاس ارائه شده بود دست برده و نفوذ خود را توسط بکدور عملیاتی کرده اند.
🔹 سرپرست آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) دستورالعمل های اضطراری را منتشر کرده و از سازمان های فدرال خواسته تا شبکه های خود را بررسی و فعالیت های مشکوک محصولات SolarWinds Orion را جدی بگیرند و مورد بررسی کامل قرار دهند.
👈 ما هم به نوبه خود و بر اساس وظیفه ملی میهنی به تمام مدیرانی که از این ابزار استفاده می کنند هشدار داده و از آنان می خواهیم که بررسی دقیق و به روز رسانی های مربوطه را انجام دهند.
🔹 محصولات شبکه و امنیتی SolarWinds با بیش از 300000 مشتری در سراسر جهان ، از جمله شرکتهای شناخته شده ایی است که سازمانهای دولتی و موسسات آموزشی از محصولات آن استفاده می کنند.
#APT
#SolarWinds
🇮🇷 @IranCyber_org
💥 هکرهای وابسته به روسیه موفق شدند برخی سازمان های دولتی که شامل وزارت خزانه داری هم میشود را با استفاده از بکدور SolarWinds هدف حملات سایبری قرار دهند. واشنگتن پست با استناد به منابع ناشناس گفته که این حملات کار گروه APT29 یا Cozy Bear می باشد که احتمال می رود نقض امنیتی شرکت FireEye نیز کار آنان باشد.
💥 هنوز انگیزه و دامنه کامل اطلاعات به خطر افتاده مشخص نیست اما شواهد نشان می دهد که هکرها در به روزرسانی نرم افزاری SolarWinds که توسط تأمین کننده زیرساخت فناوری اطلاعات مستقر در تگزاس ارائه شده بود دست برده و نفوذ خود را توسط بکدور عملیاتی کرده اند.
🔹 سرپرست آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) دستورالعمل های اضطراری را منتشر کرده و از سازمان های فدرال خواسته تا شبکه های خود را بررسی و فعالیت های مشکوک محصولات SolarWinds Orion را جدی بگیرند و مورد بررسی کامل قرار دهند.
👈 ما هم به نوبه خود و بر اساس وظیفه ملی میهنی به تمام مدیرانی که از این ابزار استفاده می کنند هشدار داده و از آنان می خواهیم که بررسی دقیق و به روز رسانی های مربوطه را انجام دهند.
🔹 محصولات شبکه و امنیتی SolarWinds با بیش از 300000 مشتری در سراسر جهان ، از جمله شرکتهای شناخته شده ایی است که سازمانهای دولتی و موسسات آموزشی از محصولات آن استفاده می کنند.
#APT
#SolarWinds
🇮🇷 @IranCyber_org
Google Cloud Blog
SolarWinds Supply Chain Attack Uses SUNBURST Backdoor | Google Cloud Blog
A highly evasive attacker leverages a supply chain attack trojanizing SolarWinds Orion business software updates in order to distribute SUNBURST malware.
Media is too big
VIEW IN TELEGRAM
🎥 دستگیری عوامل سایتهای شرط بندی
🔹تبلیغات گمراه کننده در فضای مجازی و سودای یک شبه پولدار شدن، این تبلیغات به گونهای است که عدهای را به سمت سایت های شرطبندی میکشاند
پ ن : تشکر از پیگیری پلیس فتا بابت موضوع قمار ولی مشکل اصلی ما این خورده بچه هایی نیستن که در بستر تلگرام و اینستاگرام تبلیغ میکنن ;
شبکه مالی پرداخت داستانش به کجا رسید !!؟؟ مشکلات ریشه ای را دنبال کنید 😉
#قمار
#سکه
#اپ
🇮🇷 @IranCyber_org
🔹تبلیغات گمراه کننده در فضای مجازی و سودای یک شبه پولدار شدن، این تبلیغات به گونهای است که عدهای را به سمت سایت های شرطبندی میکشاند
پ ن : تشکر از پیگیری پلیس فتا بابت موضوع قمار ولی مشکل اصلی ما این خورده بچه هایی نیستن که در بستر تلگرام و اینستاگرام تبلیغ میکنن ;
شبکه مالی پرداخت داستانش به کجا رسید !!؟؟ مشکلات ریشه ای را دنبال کنید 😉
#قمار
#سکه
#اپ
🇮🇷 @IranCyber_org
♨️ آسیب پذیری اجرای کد در Laravel
در تاریخ 13 ژانویه 2021 ، تیم امنیتی Ambionics یک آسیب پذیری اجرای کد از راه دور را در یک کامپوننت لاراول شناسایی کرد. شناسه آسیب پذیری CVE-2021-3129
جزئیات آسیب پذیری:
در مد دیباگ، اینترفیس های خاصی از تابع Ignition (بیلد شده در Laravel) داده های ورودی را به درستی فیلتر نمی کنند و همین امر به مهاجمان اجازه می دهد تا فایل های مخربی را به سیستم تزریق کرده و برای ایجاد حملات phar deserialization، اجرای کد مخرب دلخواه و در نهایت دریافت سطح دسترسی سرور استفاده کنند.
کامپوننت Ignition یک صفحه خطای قابل تنظیم و پیش فرض برای برنامه های Laravel است که روی Laravel 5.5 و ورژن بالاتر اجرا می شوند. همچنین به شما امکان می دهد خطاهای خود را به صورت عمومی در Flare به اشتراک بگذارید.
ورژن های تحت تاثیر آسیب پذیری:
Laravel < 8.4.3
Facade ignition < 2.5.2
راه حل:
آخرین وصله امنیتی به طور رسمی توسط سازنده منتشر شده است. توصیه می شود فریمورک Laravel را به بالاتر از ورژن 8.4.3 ارتقاء دهید.
کامپوننت Ignition به بالاتر از 2.5.2 ارتقاء دهید.
🇮🇷 @IranCyber_org
در تاریخ 13 ژانویه 2021 ، تیم امنیتی Ambionics یک آسیب پذیری اجرای کد از راه دور را در یک کامپوننت لاراول شناسایی کرد. شناسه آسیب پذیری CVE-2021-3129
جزئیات آسیب پذیری:
در مد دیباگ، اینترفیس های خاصی از تابع Ignition (بیلد شده در Laravel) داده های ورودی را به درستی فیلتر نمی کنند و همین امر به مهاجمان اجازه می دهد تا فایل های مخربی را به سیستم تزریق کرده و برای ایجاد حملات phar deserialization، اجرای کد مخرب دلخواه و در نهایت دریافت سطح دسترسی سرور استفاده کنند.
کامپوننت Ignition یک صفحه خطای قابل تنظیم و پیش فرض برای برنامه های Laravel است که روی Laravel 5.5 و ورژن بالاتر اجرا می شوند. همچنین به شما امکان می دهد خطاهای خود را به صورت عمومی در Flare به اشتراک بگذارید.
ورژن های تحت تاثیر آسیب پذیری:
Laravel < 8.4.3
Facade ignition < 2.5.2
راه حل:
آخرین وصله امنیتی به طور رسمی توسط سازنده منتشر شده است. توصیه می شود فریمورک Laravel را به بالاتر از ورژن 8.4.3 ارتقاء دهید.
کامپوننت Ignition به بالاتر از 2.5.2 ارتقاء دهید.
🇮🇷 @IranCyber_org
مرکز امنیتی ایران سایبر | ICG
Photo
📛 هشدار: آسیب پذیری اجرای کد از راه دور (RCE) در vSphere HTML5 client
♨️ اگر پچ نکنید، هاست هایی که سرورهای virty شما را هدایت میکنند همگی در معرض خطر قرار می گیرند.
🔹 بیانیه شرکت VMware
در یکی از پلاگین های vCenter Server آسیب پذیری اجرای کد از راه دور شناسایی شده که در آن هکرها با دسترسی به پورت 443 در شبکه ممکن است از این موضوع برای اجرای دستورات با سطح دسترسی بالا در سیستم عامل اصلی بهره برداری ها خود را انجام دهند.
🔹 از آنجا که vCenter Server ابزاری برای هدایت سرورهای مجازی است، این باگ امنیتی دارای امتیاز CVSS 9.8 می باشد و با شناسه CVE-2021-21972 قابل رهگیری است.
🔹 برای وصله کردن نسخه های زیر می توانید به این لینک مراجعه کنید.
▪️7.0 U1c
▪️6.7 U3l
▪️6.5 U3n
نسخه های مشابه vSphere و Cloud Foundation که در بالا ذکر شد ، نیاز به بررسی و پچ شدن دارند که می توانید در این لینک پیگیری کنید
اسکریپت poc باگ مربوطه جهت تست کردن آسیب پذیر بودن یا نبودن سرور شما در سایت گیت هاب
⚡️هشدار به تمامی شرکت ها و سازمان هایی که از این سرویس استفاده می کنند
👈 هرچه سریع تر به روز رسانی های لازمه را اعمال کنید
با تشکر 🙏
#vsphere
#RCE
🇮🇷 @IranCyber_org
♨️ اگر پچ نکنید، هاست هایی که سرورهای virty شما را هدایت میکنند همگی در معرض خطر قرار می گیرند.
🔹 بیانیه شرکت VMware
در یکی از پلاگین های vCenter Server آسیب پذیری اجرای کد از راه دور شناسایی شده که در آن هکرها با دسترسی به پورت 443 در شبکه ممکن است از این موضوع برای اجرای دستورات با سطح دسترسی بالا در سیستم عامل اصلی بهره برداری ها خود را انجام دهند.
🔹 از آنجا که vCenter Server ابزاری برای هدایت سرورهای مجازی است، این باگ امنیتی دارای امتیاز CVSS 9.8 می باشد و با شناسه CVE-2021-21972 قابل رهگیری است.
🔹 برای وصله کردن نسخه های زیر می توانید به این لینک مراجعه کنید.
▪️7.0 U1c
▪️6.7 U3l
▪️6.5 U3n
نسخه های مشابه vSphere و Cloud Foundation که در بالا ذکر شد ، نیاز به بررسی و پچ شدن دارند که می توانید در این لینک پیگیری کنید
اسکریپت poc باگ مربوطه جهت تست کردن آسیب پذیر بودن یا نبودن سرور شما در سایت گیت هاب
⚡️هشدار به تمامی شرکت ها و سازمان هایی که از این سرویس استفاده می کنند
👈 هرچه سریع تر به روز رسانی های لازمه را اعمال کنید
با تشکر 🙏
#vsphere
#RCE
🇮🇷 @IranCyber_org
The Register
VMware warns of critical remote code execution flaw in vSphere HTML5 client
If you don't patch, the hosts driving all your virty servers are at risk. So maybe your to-do list needs a tickle?
انتشار وصله های امنیتی مایکروسافت برای Exchange سرور - چهار نقض امنیتی برطرف می شود
♨️ انتشار این وصله های امنیتی از سوی شرکت مایکروسافت نشان از چهار باگ zero-day می دهد. این باگ ها با شناسه های زیر قابل رهگیری هستند.
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065
🌐 برای وصله کردن آنها می توانید به سایت رسمی مایکروسافت مراجعه کنید
♨️ بیانیه مایکروسافت:
یک گروه APT مرتبط با چین تحت عنوان HAFNIUM ، با استفاده از این آسیب پذیری ها توانستند دسترسی به سرورهای داخلی Exchange و همچنین دسترسی به حساب های ایمیل را برقرار کرده و اقدام به نصب بکدور کنند.
👈 لطفا وصله کنید تا براتون وصله نکردن
با تشکر 🙏
#APT
#Exchange
🇮🇷 @IranCyber_org
♨️ انتشار این وصله های امنیتی از سوی شرکت مایکروسافت نشان از چهار باگ zero-day می دهد. این باگ ها با شناسه های زیر قابل رهگیری هستند.
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065
🌐 برای وصله کردن آنها می توانید به سایت رسمی مایکروسافت مراجعه کنید
♨️ بیانیه مایکروسافت:
یک گروه APT مرتبط با چین تحت عنوان HAFNIUM ، با استفاده از این آسیب پذیری ها توانستند دسترسی به سرورهای داخلی Exchange و همچنین دسترسی به حساب های ایمیل را برقرار کرده و اقدام به نصب بکدور کنند.
👈 لطفا وصله کنید تا براتون وصله نکردن
با تشکر 🙏
#APT
#Exchange
🇮🇷 @IranCyber_org
Security Affairs
Four zero-days in Microsoft Exchange actively exploited in the wild
Microsoft released emergency out-of-band security updates for all supported Microsoft Exchange versions that fix four zero-day flaws.
درود خدمت خانواده بزرگ ایران سایبر
مدتی بود به دلایلی در تلگرام کم کار شده بودیم 😰 ولی دوباره استارت زدیم انجمن هم مثلا ادوار گذشته اکتیو است
از این که تا اینجای کار ما رو همراهی کردید سپاس گزاریم ❤️🙏🏻
کوچیک شما محمد 🙏🏼
🇮🇷 @IranCyber_org
مدتی بود به دلایلی در تلگرام کم کار شده بودیم 😰 ولی دوباره استارت زدیم انجمن هم مثلا ادوار گذشته اکتیو است
از این که تا اینجای کار ما رو همراهی کردید سپاس گزاریم ❤️🙏🏻
کوچیک شما محمد 🙏🏼
🇮🇷 @IranCyber_org
❤2
با گذشت یک ماه از حملات سایبری به صنایع فولاد کشور هنوز نحوه ی آلوده شدن و نوع نفوذ اولیه تشخیص داده نشده است
🇮🇷 @IranCyber_org
🇮🇷 @IranCyber_org
🔥1
♨️ اخیرا یک هکر مدعی دستیابی به اطلاعات مهم مرتبط با پتروشیمی لرستان (Lorestan Petrochemical) و شرکت پتروشیمی فجر (FAJR PETROCHEMICAL COMPANY) و امیر کبیر شده و در یک فروم اینترنتی د رمعرض فروش قرار داده است
♨️طبق ادعای این هکر، داده ها در حدود 5 گیگ و حاوی فایل های دیتابیس PDF,DOCX,XLS,MSG می باشد.
🔹لازم به ذکر است که شخص هکر خود را مبرا از گروه گنجشک درنده دانسته و مدعی یک گروه مستقل می باشد.
💥دیتاهای ارائه شده توسط این هکر شامل:
آرشیو پیامهای 2020 تا 2022
اسناد طبقهبندی شده و طرحها
طرحهای سیستمهای پمپاژ
و همچنین برخی اسناد تجاری در رابطه با کشورهای اروپایی، روسیه، چین یا ترکیه با جزئیات مربوط به محصولات زیمنس و کنترلکنندههای منطقی تاسیسات نفتی می باشد.
👈طبق بررسی های صورت گرفته از عکس های ارائه شده می توان دریافت که دیتاشیت های هک شده مربوط به تجهیزات چینی می باشد.
پ ن : این هست تجهیزات بومی چینی :)))
🇮🇷 @IranCyber_org
♨️طبق ادعای این هکر، داده ها در حدود 5 گیگ و حاوی فایل های دیتابیس PDF,DOCX,XLS,MSG می باشد.
🔹لازم به ذکر است که شخص هکر خود را مبرا از گروه گنجشک درنده دانسته و مدعی یک گروه مستقل می باشد.
💥دیتاهای ارائه شده توسط این هکر شامل:
آرشیو پیامهای 2020 تا 2022
اسناد طبقهبندی شده و طرحها
طرحهای سیستمهای پمپاژ
و همچنین برخی اسناد تجاری در رابطه با کشورهای اروپایی، روسیه، چین یا ترکیه با جزئیات مربوط به محصولات زیمنس و کنترلکنندههای منطقی تاسیسات نفتی می باشد.
👈طبق بررسی های صورت گرفته از عکس های ارائه شده می توان دریافت که دیتاشیت های هک شده مربوط به تجهیزات چینی می باشد.
پ ن : این هست تجهیزات بومی چینی :)))
🇮🇷 @IranCyber_org
🔥2❤1👍1
آسیبپذیری فایروال Sophos به هکرها کلیدهای پادشاهی را میدهد
♨️ حدود دو ماه پیش، یک آسیبپذیری دور زدن احراز هویت (authentication bypass) که امکان اجرای باگ RCE را می داد در پورتال کاربر و وبادمین فایروال Sophos کشف شد. شناسه آسیب پذیری CVE-2022-1040 می باشد و از نوع اجرای کد از راه دور یا به اصطلاح RCE است.
شرکت فایروال Sophos به مشتریان خود اعلام کرده که هیچ اقدامی جز فعال کردن ویژگی "Allow automatic installation of hotfixes" لازم نیست.
⚡️ نکته خیلی مهم:
به گفته سایت رسمی شرکت Sophos : این آسیب پذیری برای هدف قرار دادن سازمان های خاص عمدتاً در منطقه جنوب آسیا استفاده می شود.
👈 همان گونه که در تصاویر پیوست مشاهده می کنید، حدود 2.700 فایروال sophos در کشور ایران فعال است و یک آسیب پذیری حیاتی در زیر ساخت کشور محسوب می شود.
👈 متاسفانه سایت افتا و مرکز ماهر حتی کوچکترین اشاره ای در پست ها و اخبار خود به این آسیب پذیری نکردند.
با توجه به این که در ماه های اخیر حملات سایبری به صنایع کشور گسترش زیادی داشته، باید با جدیت بیشتری مسئولین امر پیگیر این موضوع باشند. 🙏
🇮🇷 @IranCyber_org
♨️ حدود دو ماه پیش، یک آسیبپذیری دور زدن احراز هویت (authentication bypass) که امکان اجرای باگ RCE را می داد در پورتال کاربر و وبادمین فایروال Sophos کشف شد. شناسه آسیب پذیری CVE-2022-1040 می باشد و از نوع اجرای کد از راه دور یا به اصطلاح RCE است.
شرکت فایروال Sophos به مشتریان خود اعلام کرده که هیچ اقدامی جز فعال کردن ویژگی "Allow automatic installation of hotfixes" لازم نیست.
⚡️ نکته خیلی مهم:
به گفته سایت رسمی شرکت Sophos : این آسیب پذیری برای هدف قرار دادن سازمان های خاص عمدتاً در منطقه جنوب آسیا استفاده می شود.
👈 همان گونه که در تصاویر پیوست مشاهده می کنید، حدود 2.700 فایروال sophos در کشور ایران فعال است و یک آسیب پذیری حیاتی در زیر ساخت کشور محسوب می شود.
👈 متاسفانه سایت افتا و مرکز ماهر حتی کوچکترین اشاره ای در پست ها و اخبار خود به این آسیب پذیری نکردند.
با توجه به این که در ماه های اخیر حملات سایبری به صنایع کشور گسترش زیادی داشته، باید با جدیت بیشتری مسئولین امر پیگیر این موضوع باشند. 🙏
🇮🇷 @IranCyber_org
👍3🔥3